5.1. Outils conseillés
Nous avons testé et comparé les outils de la phase d’état de l’art et nous sommes à présent en mesure de proposer une solution de pentesting mobile. Nous utilisons notre expérience pour composer l’appareil suivant :
OS
o Installation de NetHunter sous une tablette de la gamme Nexus rooté
La combinaison root/NetHunter sur un même appareil offre la possibilité d’utiliser tous les outils présentés dans cette thèse. L’avantage de réaliser des tests d’intrusion avec une tablette présente un avantage certain qui est la taille de l’écran ainsi que du clavier virtuel. Il est beaucoup plus confortable de travailler sur une tablette que sur un smartphone.
Les deux packages de pentest présentés plus haut portant le nom de Bugtroid et Pentest Tools donnent la possibilité aux testeurs de trouver rapidement des solutions spécifiques. Il est important de ne pas les négliger car ils regroupent un très grand nombre d’applications permettant les tests d’intrusion via un Android rooté.
Au niveau des applications, nous avons sélectionné après analyse et comparaison : Découverte réseau
o Zanti Scan ANDROID Attaque MITMF
o Zanti ANDROID Attaque DDoS
o Metasploit DDoS NETHUNTER
Il existe encore beaucoup de possibilités non analysées sur NetHunter. La ligne de commande de Kali Linux est un outil formidable offrant des possibilités vastes et performantes.
5.2. Améliorations
La partie d’état de l’art a duré un long moment. Aussi, nous n’avons pas eu énormément de temps pour tester des applications et mettre en place des cas pratiques. Il existe encore plusieurs types d’attaque que nous aurions voulu mettre en pratique tels que :
Man In The Middle via un port USB Mana Wireless Toolkit
HID attacks
Ainsi que toutes les possibilités qu’offre la ligne de commande de Kali Linux
Nous aurions désiré également réaliser des recherches vers des outils payants comme les prometteurs Pwn Pad et PWn Phone. Nous avons quadrillé le secteur des OS, packages et applications gratuites ou à bas coût mais il est logique de penser que ces produits payants valent la peine d’être tester. Le Pwn Pad est d’ailleurs décrit dans une vidéo du vendeur57. Il serait intéressant de pouvoir comparer leurs produits à notre proposition final afin d’y voir nos lacunes par rapport à un appareil payant.
5.3. Pentest mobile et Pentest ordinateur
Le monde du pentest mobile est jeune mais déjà vaste. Certes, il n’est pas aussi étendu que le pentest sur des ordinateurs mais il possède un fort potentiel. A l’heure actuelle, il manque des outils afin de pouvoir le considérer comme complet. NetHunter possède un assortiment d’une dizaine d’application. De son côté Kali Linux possède plus de 300 outils de tests d’intrusion (Security, 2013). La marge de progression de notre appareil mobile reste encore grande. Néanmoins, avec l’aide d’application Android, nous pouvons nous rapprocher de ce que Kali Linux peut fournir en termes de pentesting.
Dans le futur, nous voyons les tests d’intrusion se réaliser sur des tablettes performantes proposant tout un panel d’outil rapidement accessible.
RÉFÉRENCES
Abraham, A. (2016). ajinabraham/Mobile-Security-Framework-MobSF. Récupéré sur github: https://github.com/ajinabraham/Mobile-Security-Framework-MobSF
Adduono, J. C. (2016, 04 26). Kali NetHunter Documentation. Récupéré sur Github: https://github.com/offensive-security/kali-nethunter/wiki
Amadeo, R. (2016, 05 25). Google to bring official Android support to the Raspberry PI 3. Récupéré sur arstechnica: http://arstechnica.com/gadgets/2016/05/google-to-bring-official-android-support-to-the-raspberry-pi-3/
Attaque DDoS. (2015, 07 01). Récupéré sur melani.admin:
https://www.melani.admin.ch/melani/fr/home/themen/DDoSAttacken.html
Attaque man in the middle. (s.d.). Récupéré sur futura-sciences:
http://www.futura- sciences.com/magazines/high-tech/infos/dico/d/informatique-attaque-man-in-middle-10048/
Balt, T. (2016). androidpit.fr. Récupéré sur Qu'est-ce qu'une ROM Custom sur Android: http://www.androidpit.fr/c-est-quoi-rom-custom-android
Bugtroid Pentesting pro. (2013, 11 30). Récupéré sur playboard:
http://playboard.me/android/apps/com.bugtroid
Cherki, M. (2012, 02 15). Figaro. Récupéré sur 10 milliards d'appareils connectés à Internet en 2016: http://www.lefigaro.fr/secteur/high-tech/2012/02/15/01007-20120215ARTFIG00682-10milliards-d-appareils-connectes-a-internet-en-2016.php
Cyanogenmod downloads. (2016). Récupéré sur download Cyanogenmod:
Devices. (2014, 09 18). Récupéré sur wiki.cyanogenmod: http://wiki.cyanogenmod.org/w/Devices
El_FuerTos. (2012, 06 01). Root Android : rooter c'est quoi au juste ? Récupéré sur cnetfrance.fr: http://forums.cnetfrance.fr/topic/1170024-root-android--rooter-c-est-quoi-au-juste/
Graff, P.-E. (2015). clubic. Récupéré sur Nexus 7 : La première tablette de Google par Asus: http://www.clubic.com/tablette-internet-mid/article-507568-1-nexus-7.html
Hacker, H. (2014, 05 27). How to DDOS Attack Using Metasploit In Kali Linux. Récupéré sur Youtube: https://www.youtube.com/watch?v=yxAhrUAvjo0
How to use traceroute to identify network problems. (2013, 01 19). Récupéré sur howtogeek:
http://www.howtogeek.com/134132/how-to-use-traceroute-to-identify-network-problems/
htc. (s.d.). Récupéré sur VUE D'ENSEMBLE DES CARACTÉRISTIQUES:
http://www.htc.com/fr/smartphones/htc-one-m7/
Kali Linux NetHunter. (2016). Récupéré sur kali: https://www.kali.org/kali-linux-nethunter/
kenmaster. (2016, 1 5). Crack / piratage d’un réseau wifi. Récupéré sur kenmaster: http://kenmaster.unblog.fr/
NMAP Sécruity scanner. (s.d.). Récupéré sur nmap: https://nmap.org/
One Plus One. (2016). Récupéré sur OnePlus: https://oneplus.net/global/one
Pentest Tools List. (s.d.). Récupéré sur play.google:
https://play.google.com/store/apps/details?id=com.itslap.pentesttools&hl=fr
Phmadore. (2015). hacked. Retrieved from Penetration Testing: https://hacked.com/wiki/Penetration_Testing
Polo. (2014, 06 20). Facebook a été victime d’une attaque DDoS venant de Chine ! Récupéré sur tuxboard: http://www.tuxboard.com/facebook-attaque-ddos-chine/
Poulain, B. (2002, 06 23). ping. Récupéré sur linuxcertif: http://www.linuxcertif.com/man/8/ping/
Procheckup. (s.d.). Récupéré sur Penetration Testing: Black Box vs. White Box:
http://www.procheckup.com/services/black-box-vs-white-box-testing.aspx
Pwn Pad 2014. (s.d.). Récupéré sur store.pwnieexpress:
https://store.pwnieexpress.com/product/pwn-pad-2014-penetration-testing-tablet/
Revenssis. (2014, 02 16). Revenssis Penetration Testing Suite. Récupéré sur sourceforge: https://sourceforge.net/projects/revenssis/
Security, O. (2013). Official Kali Linux Documentation.
Upton, E. (2012). Android 4.0 is coming ! Récupéré sur raspberrypi: https://www.raspberrypi.org/blog/android-4-0-is-coming/
Victor. (s.d.). Android sur le Raspberry PI. Récupéré sur the-raspberry: http://the-raspberry.com/android-sur-le-raspberry-pi
What is a DDoS Attack. (2013). Récupéré sur digitalattackmap:
Déclaration de l’auteur
Je déclare, par ce document, que j'ai effectué le travail de Bachelor ci-annexé seul, sans autre aide que celles dûment signalées dans les références, et que je n'ai utilisé que les sources expressément mentionnées. Je ne donnerai aucune copie de ce rapport à un tiers sans l'autorisation conjointe du RF et du professeur chargé du suivi du travail de Bachelor, y compris au partenaire de recherche appliquée avec lequel j'ai collaboré, à l'exception des personnes qui m'ont fourni les principales informations nécessaires à la rédaction de ce travail et que je cite ci-après : -.